Простая атака на цепочку поставок скомпрометировала тысячи веб-сайтов и приложений

Простая атака на цепочку поставок скомпрометировала тысячи веб-сайтов и приложений

Злоумышленники пытались нарушить цепочку поставок npm с помощью десятков вредоносных модулей.

image

Широкомасштабная хакерская кампания началась еще в декабре 2021 года. Исследователи из ReversingLabs назвали ее IconBurst и сообщили, что злоумышленники используют не менее двух десятков вредоносных npm-пакетов с обфусицированным JavaScript-кодом внутри, который использовался для сбора личных данных жертв.

По словам специалистов, хакеры опираются на тайпсквоттинг , выдавая свои вредоносные пакеты за легитимные. Чтобы обмануть разработчиков, злоумышленники давали пакетам имена, похожие на легитимные, после чего загружали их в публичные репозитории.

Чаще всего хакеры подделывали популярные npm-модули, такие как umbrellajs или ionic.io. Вредоносные пакеты были скачаны более 27 000 раз, а некоторые из них до сих пор доступны для скачивания. Ниже приведен список самых популярных пакетов и количество скачиваний:

  • icon-package (17,774)

  • ionicio (3,724)

  • ajax-libs (2,440)

  • footericon (1,903)

  • umbrellaks (686)

  • ajax-library (530)

  • pack-icons (468)

  • icons-package (380)

  • swiper-bundle (185)

  • icons-packages (170)

Полный масштаб атаки еще предстоит выяснить, поскольку нет возможности определить объем данных, украденных из взломанных приложений и веб-сайтов. Тем не менее, предполагается, что мошеннические npm-пакеты использовались в сотнях приложений.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!